Instagram заявил, что устранил проблему, из-за которой хакеры смогли обманом заставить его ИИ-инструмент поддержки предоставлять доступ к аккаунтам других пользователей. По утверждениям, которые подтверждаются скриншотами и видео, распространенными в социальных сетях, чатбот Instagram на базе ИИ позволял пользователям «захватывать» аккаунты в последние дни.
Злоумышленники, как сообщается, могли менять пароли других аккаунтов, подделывая свое местонахождение и затем прося ИИ изменить привязанные к аккаунтам электронные адреса. Инцидент происходит на фоне беспокойства относительно влияния все более мощных и распространенных систем искусственного интеллекта на данные и безопасность людей. Видео, распространенные в социальных сетях, якобы показывали, как могла происходить такая атака на Instagram.
«В одном из них, опубликованном исследователем кибербезопасности Dark Web Informer в X, показано, как пользователь ищет имя аккаунта, к которому хочет получить доступ, в процессе восстановления Instagram», — пишет BBC.
Также демонстрируется использование VPN-сервиса для подмены местонахождения, чтобы выглядеть так, будто пользователь находится там же, где и владелец аккаунта. После выбора нужного аккаунта пользователь отправляет сообщение поддержке Meta AI с просьбой привязать новый электронный адрес к аккаунту и отправить код подтверждения. Бот выполняет запрос — отправляет код на электронный адрес хакера, который после подтверждения получает письмо со ссылкой для смены пароля.
Один пользователь X написал, что не смог найти «живую поддержку», когда его аккаунт Instagram был взломан.
«Мы дошли до точки, где один ИИ украл аккаунт, а другой не может его исправить — никакого участия людей нигде», — сказал он.
Мета, как рассказывают, отреагировала довольно быстро.
«Эта проблема уже решена, и мы обеспечиваем защиту пострадавших аккаунтов», — заявил представитель Meta Энди Стоун в заметке на X.
В ответ на другое сообщение он также отметил, что заявления об использовании уязвимости для взлома аккаунтов мировых лидеров являются «абсолютно ложными».
Технологическое издание 404media сообщило:
«Публикации об уязвимости совпали во времени с «рядом захватов высокопрофильных аккаунтов Instagram», включая проверенный аккаунт, который использовался Бараком Обамой во время его пребывания на посту президента США.»
Аккаунт бывшего президента США опубликовал проиранский контент перед тем, как его восстановили. После этого сообщалось, что аккаунт Instagram, который использовался Бараком Обамой во время его президентства, был взломан.
Пока неизвестно, сколько аккаунтов Instagram пострадали от этого вероятного эксплоита. Среди тех, кто заявлял о взломе, была исследовательница безопасности и бывшая сотрудница Meta Джейн Манчун Вонг. Вонг, которая ранее работала в Meta инженером по безопасности, написала в X, что ее пароль Instagram «был изменен без ее ведома», и она неоднократно видела различные попытки сброса пароля.
«Довольно тревожно», — добавила она.
BBC спросила Meta, доступна ли человеческая поддержка пользователям, чьи аккаунты были взломаны. Компания ранее уже сталкивалась с критикой из-за отсутствия поддержки пользователей, чьи аккаунты были взломаны. Независимый орган, рассматривающий споры пользователей социальных сетей в ЕС, на прошлой неделе заявил, что Meta почти никогда не отвечает на случаи, когда сообщается о неправомерных блокировках.
Спецпроекты«Катка24»: топові українські стримери знялися у ролику для геймінг-кампанії від ПриватБанк, Visa та NAVIНайпоширеніші помилки під час оплати комуналки онлайн: як не втратити час і гроші
«Исследователи отмечают, что эксплойт мог циркулировать еще с конца марта 2026 года — примерно с момента, когда Meta запустила или активнее развернула AI-поддержку для Instagram. Это означает, что уязвимость могла существовать несколько месяцев до официального исправления, прежде чем ее начали массово обсуждать в соцсетях», — отмечает портал Android Authority.
Также сообщается, что инструмент поддержки работал без достаточных «guardrails» — в частности без дополнительной проверки права собственности на аккаунт перед тем, как менять email. Фактически, AI выполнял критические действия (изменение почты и запуск reset-процедуры) только на основе диалога, без жесткой аутентификации пользователя.
«Эта атака не требовала доступа к оригинальной электронной почте или телефону жертвы — то есть злоумышленникам не нужно было иметь никаких реальных данных владельца аккаунта, кроме username. Это делало метод особенно опасным, поскольку он обходил стандартные каналы восстановления доступа», — добавляет издание Digital Trends.
Также в материалах подчеркивается, что Meta впервые развернула AI support как часть стратегии автоматизации обслуживания пользователей, включая функции сброса пароля и обработки запросов о взломе. Именно эта интеграция «support + account recovery» и создала критическую точку риска. Некоторые источники также указывают, что пострадавшие пользователи часто не могли быстро получить доступ к живой поддержке, из-за чего восстановление аккаунтов становилось почти невозможным в момент атаки — и это позволяло злоумышленникам действовать быстрее, чем жертвы.
«Instagram — не наркотик, 16 часов — не зависимость»: CEO платформы сделал заявление
Источник: BBC
